Ein schwerwiegender Sicherheitsvorfall durch die Hackergruppe REvil gegenüber der Software VSA der Firma Kaseya wirkte sich auf bis zu 1500 Unternehmen und tausende Endgeräte aus. VSA (Virtual System Administrator) ist eine Software, um Unternehmensnetzwerke aus der Ferne zu administrieren, sodass beispielsweise Software-Updates installiert werden können. Kaseya wird daher nicht nur von direkten Endkunden eingesetzt, sondern vor allem auch von IT-Dienstleistern, die Ihren Kunden mit der Software VSA administrative oder organisatorische Arbeiten in Zusammenhang mit dem Netzwerk- und Updatemanagement abnehmen.
Derartige Fälle werden der Kategorie "Supply-Chain-Angriffe" zugeordnet. Damit wird ein Angriff beschrieben, der über die Lieferkette eines Unternehmens erfolgt, anstatt das Unternehmen direkt zu attackieren. Diese Angriffsvarianten sind technisch sehr aufwendig, besitzen aber durch die beschriebene Kettenreaktion eine enorme Auswirkung.
Die Hackergruppe REvil hat das Kaseya-Tool VSA der IT-Dienstleister über eine zero-day-Lücke gekapert, einen Schadcode infiltriert und damit die Kundenumgebungen im Rahmen eines Updates mit einem Verschlüsselungstrojaner infiziert. Ein besonders hoher Schaden entstand für die Supermarktkette Coop in Schweden, die hunderte Filialen schließen musste, weil die Kassensysteme nicht mehr funktionierten.
Laut BSI waren auch deutsche Unternehmen betroffen. Auch hier handelte es sich - zumindest in einem Fall - um einen IT Dienstleister, der über die Fernwartungssoftware VSA Kunden in der IT-Administration unterstützte. Durch den beschriebenen Dominoeffekt wirkte sich der Angriff auf einige tausend Kundenrechner des IT-Dienstleisters aus.
Dieses und letztes Jahr gab es weltweit weitere vergleichbare Supply-Chain-Angriffe mit einer großen Anzahl an betroffenen Unternehmen. Im Gegensatz zum Supply-Chain-Angriff auf SolarWinds im Jahr 2019, wurde Kaseya nicht gehackt. Es wurde eine bis dato unbekannte Sicherheitslücke ausgenutzt – auch bezeichnet als Zero-Day-Exploit. Die Thread Analysis Group (TAG) von Googles Project Zero hat im Juli veröffentlicht, dass bis dato bereits 33 Zero-Day-Exploits entdeckt wurden, während im gesamten Jahr 2020 22 Zero-Day-Exploits gezählt wurden. Die Entwicklung der vergangenen drei Jahre zeigt, dass Zero-Day-Exploits stetig steigen. Die Gefahr von einem Angriff in der Supply-Chain betroffen zu sein, wird somit zukünftig für Unternehmen ein unvermeidbares Risiko darstellen. Wir haben für Sie zusammengefasst, wie Sie die Risiken in Ihrer Lieferkette minimieren und welche Maßnahmen Sie ergreifen sollten, damit Sie bei einem Supply-Chain-Angriff gut gewappnet sind.
Minimieren Sie die Risiken in Ihrer Lieferkette
Achten Sie auf die Auswahl von vertrauenswürdigen Lieferanten, die höchste Sicherheitsstandards einhalten und dies der verantwortlichen Stelle nachweisen können. Natürlich ist ein Angriff auf diese Lieferanten nicht ausgeschlossen, aber das Risiko kann dadurch reduziert werden. Jeder neue Lieferant wird anhand verschiedener Kriterien eingestuft und bewertet. Nur wenn die definierten Anforderungen erfüllt werden, sollten Sie den Lieferanten in Ihre Lieferkette aufnehmen.
Transparenz in Bezug auf eingesetzte Software
Eine Übersicht der im Unternehmen eingesetzten Software und Clouddienste sollte vorliegen. Jedes Programm darf nur dann in Betrieb genommen werden bzw. in Betrieb sein, wenn dies zwingend für die Aufgabenbewältigung notwendig ist und wenn die Rahmenbedingungen des Softwareprodukts definierten Vorgaben entsprechen.
Eventmanagement
Jeder Angriff wird bestimmte Spuren hinterlassen bzw. ungewöhnliches Systemverhalten im Netzwerk auslösen. Die Auswertung von Log-Dateien, Ereignisanzeigen und Alarmen kann Angreifer, die sich bisher unentdeckt im Netzwerk bewegten, erkennbar machen.
Zugriffskonzept nach dem Least Privilege-Prinzip
Ziel der Angreifer sind in der Regel sensible Daten, um diese als Druckmittel für Lösegeldzahlung einzusetzen. Eine Risikominimierung bedeutet, nur zur Aufgabenerfüllung notwendige Berechtigungen zu vergeben. Besonders wichtig ist dies auch in Bezug auf privilegierte Berechtigungen z.B. der Administratoren.
Mitarbeitersensibilisierung hinsichtlich der Meldekette
Mitarbeiter sollten sensibilisiert sein, ungewöhnliches Systemverhalten an eine definierte Stelle zu melden. Eine Meldung muss auch außerhalb der Kernzeiten möglich sein, um flexible Arbeitszeiten oder Schichtbetrieb abzudecken. Urlaubsvertretungen der Meldeempfänger sind zu regeln.
Allgemeine Härtung der Netzwerkumgebung und Einsetzten von IT-Sicherheitslösungen nach Stand der Technik
Weiter gibt es zahlreiche Möglichkeiten das System gegen Angriffe zu härten. Mittlerweile müssen wir davon ausgehen, dass wir früher oder später Ziel eines Angriffs werden. Alle internen Anstrengungen zur Erhöhung der IT-Sicherheit/Informationssicherheit dienen letztlich dem Ziel, einen Angriff frühzeitig zu erkennen und es dem Angreifer innerhalb des Netzwerkes so schwer wie möglich zu machen. Beispiel hierfür kann der Einsatz von Endpoint-Security Lösungen mit EDR Funktionalität sein, eine konsequente Netztrennung und die Härtung der Konfiguration von Server und Diensten wie z.B. des Active Directorys.
Regelung mit dem Umgang von (Zero-day) Schwachstellen
Unerlässlich ist ein durchgängiges Konzept, das den Umgang mit Schwachstellen in Software, Netzwerkkomponenten und Cloudlösungen regelt. In diesem Prozess muss sichergestellt sein, dass neu auftretende Schwachstellen erkannt werden und je nach Schwere der Schwachstelle umgehend über ein Update oder Workaround geschlossen werden. Im Worst Case muss die Lösung außer Betrieb genommen werden, bis durch ein Update oder Workaround ein Weiterbetrieb sicher möglich ist.
Notfallmanagement
Unbedingt sollte sich die verantwortliche Stelle mit der Behandlung eines möglichen Angriffs im Vorfeld auseinandersetzen. Gerade in einer Krisensituation ist es entscheidend, dass vorab definierte Prozesse zur Vorfalls Behandlung vorliegen, denn nur so existiert die Chance eine Krise kontrolliert zu bearbeiten.
Verpflichtung der obersten Leitung
All diese beschriebenen Maßnahmen erhöhen die Sicherheit im Unternehmen, tragen dabei aber nicht sofort zu mehr Umsatz bei. Es muss trotzdem vom höchsten Interesse der obersten Leitung sein, die Informationssicherheit zu unterstützen, um hohe Schäden in der Zukunft zu vermeiden. Nicht umsonst wird die Unterstützung der Geschäftsleitung als zentrale Voraussetzung einer stabilen Informationssicherheit gesehen.
Die immer weiter fortschreitende Digitalisierung sowie Abhängigkeit von IT-Systemen bei parallel steigenden Angriffsrisken, macht eine ganzheitliche Betrachtung der Organisation aus Informationssicherheitsperspektive notwendig. Der Kreis schließt sich mit der Frage des richtigen Informationssicherheitsstandards, denn nur damit wird eine umfassende Betrachtung und Risikominimierung möglich und bietet Antworten auf das Risiko von Supply-Chain-Angriffen.
Nehmen Sie das Thema Informationssicherheits-Managementsystem in Ihre Planung auf. Nutzen Sie unsere Webinaraufzeichnungen zu den Themen ISMS und CISIS12 oder kommen Sie jederzeit für ein kostenfreies Strategiegespräch auf uns zu.